II SA/Wa 625/13

WyrokWSA w Warszawie2013-05-23

Skład orzekający: Ewa Grochowska – Jung, Andrzej Kołodziej, Stanisław Marek Pietras

Analiza orzeczenia

Sekcja wygenerowana przez AI na podstawie treści orzeczenia — nie stanowi cytatu.

Zagadnienie prawne
Czy Generalny Inspektor Ochrony Danych Osobowych prawidłowo odmówił uwzględnienia skargi dotyczącej przetwarzania danych osobowych, uznając, że spółka dochowała należytej staranności i przetwarza dane zgodnie z prawem, pomimo nieważności umowy, na podstawie której dane zostały pozyskane?
Ratio decidendi
Przetwarzanie danych osobowych jest legalne, jeśli spełniona jest przynajmniej jedna z przesłanek określonych w art. 23 ust. 1 ustawy o ochronie danych osobowych. W analizowanej sprawie, mimo nieważności umowy, przetwarzanie danych osobowych skarżącej przez spółkę było uzasadnione obowiązkiem przechowywania dokumentów księgowych i faktur wynikającym z przepisów Ordynacji podatkowej i ustawy o rachunkowości (art. 23 ust. 1 pkt 2 ustawy o ochronie danych osobowych). Spółka dochowała należytej staranności, ponieważ w momencie pozyskiwania danych nie posiadała wiedzy o ich nielegalnym źródle, a wiedzę tę uzyskała dopiero po wydaniu wyroku przez sąd cywilny.
Stan faktyczny
Skarżąca zarzuciła spółce T. S.A. nielegalne pozyskanie jej danych osobowych i zawarcie umowy o świadczenie usług telekomunikacyjnych, która następnie została uznana za nieważną przez sąd cywilny. Generalny Inspektor Ochrony Danych Osobowych (GIODO) odmówił uwzględnienia skargi, uznając, że spółka przetwarza dane zgodnie z prawem w celu realizacji obowiązku przechowywania dokumentów księgowych i że dochowała należytej staranności. Skarżąca wniosła skargę do WSA, zarzucając organowi naruszenie przepisów K.p.a. i niewłaściwe rozpatrzenie stanu faktycznego. WSA oddalił skargę, podzielając stanowisko GIODO.
Rozstrzygnięcie
Oddala skargę.

Pełny tekst orzeczenia

Wojewódzki Sąd Administracyjny w Warszawie w składzie następującym: Przewodniczący Sędzia WSA – Ewa Grochowska – Jung Sędzia WSA – Andrzej Kołodziej Sędzia WSA – Stanisław Marek Pietras (spraw.) Protokolant – starszy sekretarz sądowy Dorota Kwiatkowska po rozpoznaniu na rozprawie w dniu 23 maja 2013 r. sprawy ze skargi M. S. na decyzję Generalnego Inspektora Ochrony Danych Osobowych z dnia [...] stycznia 2013 r. nr [...] w przedmiocie odmowy uwzględnienia skargi o przetwarzanie danych osobowych – oddala skargę – W dniu [...] sierpnia 2009 r. T. S.A. zawarła umowę zlecenia z M. G. w sprawie zawierania w jej imieniu umów o świadczenie usług telekomunikacyjnych i Spółka udzieliła wymienionej pisemnego pełnomocnictwa (stanowiącego załącznik do umowy zlecenia), na podstawie którego została ona umocowana do podpisywania i zawierania w imieniu i na rzecz Spółki przedmiotowych umów. Dane osobowe skarżącej M. S. zostały pozyskane – jak później wymieniona wyjaśniła – bezpośrednio od niej w miejscu jej zamieszkania (w ramach tzw. systemu "door to door") w celu zawarcia umowy o świadczenie usług telekomunikacyjnych i we wskazany wyżej sposób została zawarta przez skarżącą ze Spółką umowa o świadczenie usług telekomunikacyjnych w dniu [...] sierpnia 2009 r. nr [...]. W dniu [...] września 2009 r. P. S.A. otrzymała dokument z dnia [...] sierpnia 2009 r., podpisany przez skarżącą (abonenta P. S.A.), mocą którego wypowiedziała umowę o świadczenie usług telekomunikacyjnych zawartą z P. S.A. i dokonała przeniesienia numeru do Spółki. W wyniku powyższego w dniu [...] października 2009 r. P. S.A. zaprzestała świadczenia usług telekomunikacyjnych na rzecz skarżącej i aktualnie P. S.A. przetwarza dane osobowe skarżącej w związku ze złożonymi przez nią wnioskami o zmianę abonenta z dnia [...] czerwca 1979 r. oraz wskazanymi wyżej późniejszymi wnioskami (z dnia [....] sierpnia 2009 r.) i umową o świadczenie skarżącej usług telekomunikacyjnych (rozwiązaną w dniu [...] października 2009 r.) Następnie w dniu [...] grudnia 2009 r. skarżąca otrzymała do zapłaty fakturę za usługi telekomunikacyjne od Spółki i tego dnia powzięła informację o przetwarzaniu jej danych osobowych przez Spółkę. W dniu [...] października 2011 r. Sąd Rejonowy w W., [...] Wydział Cywilny wydał wyrok w sprawie o sygn. akt. [...], mocą którego ustalił, iż umowa z dnia [...] sierpnia 2009 r. nr [...] o świadczenie usług [...] zawarta pomiędzy skarżącą a Spółką oraz zamówienie abonamentu na linii analogowej dokonane przez skarżącą w dniu [...] sierpnia 2009 r., są nieważne. Następnie do Biura Generalnego Inspektora Ochrony Danych Osobowych wpłynęła skarga (wniosek) M. S. o przetwarzaniu jej danych osobowych przez T. S.A. z siedzibą w W. przy [...], której zarzucono, że Spółka pozyskała jej dane osobowe z naruszeniem przepisów ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (tekst jedn. Dz. U. z 2002 r. Nr 101, poz. 926 z późn. zm.), wskazując że "(...) osoba działająca w interesie T. S.A. wyłudziła dane osobowe, wykorzystała je w celu sfałszowania umowy, przekazała ww. dane firmie T. S.A. (która dalej je przetwarzała bez wiedzy i zgody, a także uzyskała z niewiadomego źródła adres zamieszkania (...) oraz dane dotyczące jej poprzedniej, prawomocnej umowy z operatorem P. S. A."). W tej sytuacji wniosła o przeprowadzenie kontroli zgodności przetwarzania danych z przepisami o ochronie danych osobowych w Spółce oraz o zainicjowanie procesu kontroli nad szkoleniami z zakresu ochrony danych osobowych pracowników Spółki, a w szczególności tych, którzy zawierają umowy z klientami poza lokalem Spółki. Ponadto skarżąca wniosła o ukaranie Spółki na podstawie przepisów art. 49 ustawy w razie ujawnienia nieprawidłowości w toku przeprowadzonego postępowania. W trakcie postępowania Spółka w złożonych m.in. w dniu [...] stycznia 2012 r. wyjaśnieniach wskazała, że aktualnie przetwarza dane osobowe skarżącej w zakresie jej imienia, nazwiska, adresu zameldowania oraz NIP w związku z regulacjami ustawy z dnia 29 sierpnia 1997 r. Ordynacja podatkowa (tekst jedn. Dz. U. z 2005 r. Nr 8, poz. 60 z późn. zm.), ustawy z dnia 10 września 1999 r. Kodeks karny skarbowy (tekst jedn. z 2007 r. Nr 111, poz. 765 z późn. zm.) oraz ustawy z dnia 29 września 1994 r. o rachunkowości (tekst jedn. Dz. U. z 2009 r. Nr 152, poz. 1223 z późn. zm.). Jednocześnie poinformowała, że okres retencji danych skarżącej, o którym mowa w przepisach ustawy z dnia 16 lipca 2004 r. prawo telekomunikacyjne (Dz. U. Nr 171, poz. 1800 z późn. zm.), będzie się zawierał w okresie 5 lat od zakończenia roku, w którym wystawiono faktury VAT. Generalny Inspektor Ochrony Danych Osobowych decyzją z dnia [...] marca 2012 r. nr [...], działając na podstawie art. 12 pkt 2, art. 22 w zw. z art. 23 ust. 1 pkt 2 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (tekst jedn. z 2002 r. Dz. U. Nr 101, poz. 926 z późn. zm.), odmówił uwzględnienia wniosku skarżącej. W uzasadnieniu – powołując się na opisany powyżej stan faktyczny – podał, że przedmiotem analizy GIODO nie jest kwestia ustalenia autentyczności podpisu skarżącej złożonego pod umową, a co za tym idzie ważności umowy łączącej skarżącą ze Spółką, jak również kwestia ustalenia źródła pozyskania przez Spółkę adresu zamieszkania skarżącej oraz jej danych dotyczących umowy z P. S.A., bowiem biorąc pod uwagę zakres zadań określony w art. 12 ustawy, nie dysponuje on środkami prawnymi do podjęcia działań we wskazanym wyżej zakresie. Nie jest on również organem upoważnionym do kontroli ani nadzoru nad prawidłowością stosowania prawa materialnego i procesowego w sprawach należących do właściwości innych organów, służb czy sądów, których orzeczenia podlegają ocenom w toku instancji, czy w inny sposób określony odpowiednimi procedurami. Zatem w sprawie konieczne jest ustalenie, czy u podstaw przetwarzania danych osobowych skarżącej przez Spółkę leży którakolwiek z legalizujących je przesłanek, enumeratywnie wyliczonych w art. 23 ust. 1 pkt 1 – 5 ustawy, które odnoszą się do wszelkich form przetwarzania danych osobowych, w szczególności zbierania, utrwalania, przechowywania, opracowywania, zmieniania, udostępniania i usuwania, a zwłaszcza do tych form, w których przetwarza się dane osobowe w systemach informatycznych. Podkreślono, iż wskazane w powołanym przepisie przesłanki są względem siebie równoprawne. Oznacza to, że zgoda na przetwarzanie danych osoby, której te dane dotyczą, a o której mowa w przepisie art. 23 ust. 1 pkt 1 ustawy, nie jest wyłączną okolicznością czyniącą proces przetwarzania danych legalnym. Ustawa nie daje zatem żadnych podstaw ku temu, by taką zgodę traktować w sposób uprzywilejowany, a jej brak nie skutkuje automatycznie bezprawnością przetwarzania danych po stronie administratora. Dla legalności procesu przetwarzania danych wystarczające jest zatem spełnienie jednej z przesłanek określonych w art. 23 ust. 1 pkt 1 – 5 ustawy. Dalej podkreślono, że umowa z dnia [...] sierpnia 2009 r. nr [...] o świadczenie usług [...] zawarta pomiędzy skarżącą a Spółką została uznana przez sąd za nieważną, a zatem nie jest możliwe uznanie, iż proces przetwarzania ww. danych ma miejsce na podstawie przesłanki zawartej w art. 23 ust. 1 pkt 3 ustawy, zgodnie z którym przetwarzanie danych jest dopuszczalne, gdy jest to konieczne dla realizacji umowy, gdy osoba, której dane dotyczą, jest jej stroną lub gdy jest to niezbędne do podjęcia działań przed zawarciem umowy na żądanie osoby, której dane dotyczą. Jednakże przetwarzanie danych osobowych skarżącej przez Spółkę znajduje uzasadnienie w przepisach art. 23 ust. 1 pkt 2 ustawy. Wskazane przetwarzanie jest bowiem dopuszczalne zgodnie z powołanym artykułem, gdy jest to niezbędne dla zrealizowania uprawnienia lub spełnienia obowiązku wynikającego z przepisu prawa. Wskazano dalej, że zgodnie z art. 32 § 1 ustawy z dnia 29 sierpnia 1997 r. Ordynacja podatkowa (tekst jedn. Dz. U. Nr 8, poz. 60 z późn. zm.) dalej: u.o.p., płatnicy i inkasenci obowiązani są przechowywać dokumenty związane z poborem lub inkasem podatków do czasu upływu terminu przedawnienia zobowiązania płatnika lub inkasenta. Zauważono również, że zgodnie z art. 86 § 1 u.o.p., podatnicy obowiązani do prowadzenia ksiąg podatkowych przechowują księgi i związane z ich prowadzeniem dokumenty do czasu upływu okresu przedawnienia zobowiązania podatkowego. Stosownie zaś do art. 88 § 1 u.o.p., podatnicy wystawiający rachunki są obowiązani kolejno je numerować i przechowywać kopie tych rachunków, w kolejności ich wystawienia, do czasu upływu okresu przedawnienia zobowiązania podatkowego. Jednocześnie zobowiązanie podatkowe przedawnia się w myśl art. 70 § 1 u.o.p., z upływem 5 lat, licząc od końca roku kalendarzowego, w którym upłynął termin płatności podatku. Zgodnie natomiast z art. 73 ust. 1 ustawy z dnia 29 września 1994 r. o rachunkowości (tekst jedn. Dz. U. z 2009 r. Nr 152, poz. 1223 z późn. zm.) dalej: u.o.r., dowody księgowe i dokumenty inwentaryzacyjne przechowuje się w jednostce, z zastrzeżeniem ust. 4, w oryginalnej postaci, w ustalonym porządku dostosowanym do sposobu prowadzenia ksiąg rachunkowych, w podziale na okresy sprawozdawcze, w sposób pozwalający na ich łatwe odszukanie. Roczne zbiory dowodów księgowych i dokumentów inwentaryzacyjnych oznacza się określeniem nazwy ich rodzaju oraz symbolem końcowych lat i końcowych numerów w zbiorze. W myśl zaś art. 73 ust. 3 u.o.r., po zatwierdzeniu sprawozdania finansowego za dany rok obrotowy, dokumentację przyjętych zasad rachunkowości, księgi rachunkowe oraz sprawozdania finansowe, w tym również sprawozdanie z działalności jednostki, przechowuje się odpowiednio w sposób określony w ust. 1. Należy także podkreślić, że obligatoryjny okres przechowywania powyższych dokumentów oraz ksiąg wynika bezpośrednio z treści art. 74 u.o.r. i wynosi 5 lat. Zatem Spółka ma prawo przetwarzać dane osobowe skarżącej w zakresie jej imienia, nazwiska, adresu zameldowania oraz NIP zawarte w wystawionych przez Spółkę fakturach. Zauważono jednocześnie, że obowiązek wystawiania i przechowywania rachunków, faktur oraz dowodów zakupu towarów został przez ustawodawcę obwarowany sankcjami karnymi. Zgodnie bowiem z art. 62 § 1 ustawy z dnia 10 września 1999 r. Kodeks karny skarbowy (tekst jedn. z 2007 r. Nr 111, poz. 765 z późn. zm.) dalej: k.k.s., kto wbrew obowiązkowi nie wystawia faktury lub rachunku za wykonanie świadczenia, wystawia je w sposób wadliwy albo odmawia ich wydania, podlega karze grzywny do 180 stawek dziennych. Stosownie natomiast do art. 62 § 3 k.k.s., karze określonej w § 1 podlega także ten, kto wbrew obowiązkowi nie przechowuje wystawionej lub otrzymanej faktury lub rachunku, bądź dowodu zakupu towarów. W dalszej części, odnosząc się do twierdzenia skarżącej, iż administrator danych (w analizowanej sprawie Spółka) powinien, cyt.: "(...) powstrzymać się (...) od pozyskiwania danych osobowych, o których wie, że zostały pozyskane w sposób nielegalny lub też ze źródeł, o których niezgodnej z prawem działalności mógłby dowiedzieć się przy dochowaniu szczególnej staranności (...)" konieczne jest odniesienie się do treści art. 26 ust. 1 pkt 1 ustawy. W myśl powołanego przepisu, administrator danych przetwarzający dane powinien dołożyć szczególnej staranności w celu ochrony interesów osób, których dane dotyczą, a w szczególności jest obowiązany zapewnić, aby dane te były przetwarzane zgodnie z prawem. Wobec powyższego w pierwszej kolejności należy zaznaczyć, że zebranie danych osobowych skarżącej nastąpiło w ramach działań podejmowanych w imieniu Spółki przez osobę, z którą Spółka podpisała umowę zlecenia oraz której nadała pełnomocnictwo do podpisywania i zawierania w jej imieniu i na jej rzecz umów o świadczenie usług telekomunikacyjnych, a więc osobę właściwie umocowaną do podejmowania ww. działań. Jednocześnie ze zgromadzonego w niniejszej sprawie materiału dowodowego nie wynika, aby w chwili zbierania danych osobowych skarżącej, o którym mowa wyżej, Spółka posiadała wiedzę o nielegalnym źródle ich pozyskania lub źródle, o którego niezgodnej z prawem działalności mogłaby dowiedzieć się przy dochowaniu szczególnej staranności. Podkreślono, że dopiero od chwili wydania przez sąd wyroku w sprawie o sygn. akt [...] można mówić, że Spółka ma wiedzę na temat braku podstaw do uznawania skarżącej za osobę będącą jej abonentem i aktualnie przetwarza dane osobowe skarżącej wyłącznie we wskazanych wyżej celach archiwalnych. Zatem, w ocenie GIODO, Spółka dochowała należytej staranności przy wypełnianiu obowiązków administratora danych. Odnosząc się do wniosku Skarżącej w przedmiocie wszczęcia postępowania kontrolnego w celu zweryfikowania poprawności procedur ochrony danych osobowych w Spółce, w tym sprawdzenia bezpieczeństwa przetwarzania danych i celu, w jakim są gromadzone wskazano, iż przeprowadzone przez GIODO postępowanie administracyjne stanowi w myśl art. 12 pkt 1 ustawy, zadośćuczynienie powyższemu wnioskowi. Z kolei co do wniosku skarżącej o ukaranie Spółki na podstawie przepisów art. 49 ustawy w razie ujawnienia nieprawidłowości w toku przeprowadzonego postępowania podkreślono, że strona może składać do GIODO tylko takie wnioski, które mogą być rozpoznane przez wydanie decyzji administracyjnej. Zaznaczono, że ustawa nie daje organowi ochrony danych osobowych uprawnień do kończenia prowadzonego postępowania poprzez skierowanie w formie decyzji administracyjnej zawiadomienia do organów ścigania o popełnieniu przestępstwa. Jak wskazał Naczelny Sąd Administracyjny w wyroku z dnia 19 listopada 2011 r. (sygn. akt II SA 2702/00), cyt.: "(...) osoba dochodząca ochrony swych praw w trybie ustawy o ochronie danych osobowych nie jest podmiotem postępowania obliczonego na wydanie decyzji o zawiadomieniu stosownego organu o przestępstwie w zakresie przetwarzania danych osobowych i nie może się tego domagać od GIODO w administracyjnoprawnych formach tego postępowania. Przepis art. 19 ustawy nie daje bowiem stronie roszczenia w tym względzie (...)". Jednocześnie podkreślono, że skierowanie przez GIODO zawiadomienia o popełnieniu przestępstwa następuje poprzez wystąpienie do organu właściwego do wszczęcia postępowania karnego w danej sprawie, a ponadto jako należące do autonomicznych kompetencji organu, realizowane jest z urzędu, a nie na wniosek osób zainteresowanych (por. wyrok Wojewódzkiego Sądu Administracyjnego w Warszawie z dnia 13 listopada 2009 r., II SA/Wa 612/2009), zaś wskazane wyżej stanowisko nie pozbawia jednak osób zainteresowanych możliwości samodzielnego wniesienia stosownego zawiadomienia do organów ścigania. Reasumując, proces przetwarzania danych osobowych skarżącej, wobec faktu ich przetwarzania przez Spółkę w oparciu o przesłankę zawartą w przepisie art. 23 ust. 1 pkt 2 ustawy, nosi znamiona legalności. We wniosku z dnia [...] kwietnia 2012 r. do Generalnego Inspektora Ochrony Danych Osobowych o ponowne rozpatrzenie sprawy, skarżąca zarzuciła organowi naruszenie art. 7, 77 i 80 k.p.a., przejawiające się w niewystarczającym, niewnikliwym, niewszechstronnym rozpatrzeniu stanu faktycznego sprawy oraz niezebranie materiału dowodowego koniecznego do rozpatrzenia sprawy, zaś w uzasadnieniu podała, że żadna z przesłanek ustanowionych w art. 23 ustawy o ochronie danych osobowych, nie legalizuje sposobu pozyskania jej danych przez Spółkę. Organ, wydając zaskarżone rozstrzygnięcie, nie ustalił także z jakiego źródła pracownik Spółki pozyskał jej adres i podkreślił, że ustawa o ochronie danych osobowych wprost nakłada na administratora danych (T. S.A.) obowiązek sprawdzania wiarygodności źródeł, z których pozyskuje się dane osobowe i w tym zakresie powinien on dochować szczególnej staranności. Bez wątpienia więc powinien powstrzymać się on od pozyskiwania danych osobowych, o których wie, że zostały pozyskane w sposób nielegalny lub też ze źródeł, o których niezgodnej z prawem działalności mógłby dowiedzieć się przy dochowaniu szczególnej staranności. W dalszej części wskazano, że skoro Spółka wiedziała o tym, iż dane uzyskane od skarżącej pochodzą z przestępstwa, to dalsze ich przetwarzane pozbawione było znamion legalności i powyższe okoliczności zostały całkowicie pominięte przez organ przy wydawaniu zaskarżonej decyzji. Generalny Inspektor Ochrony Danych Osobowych decyzją z dnia [...] stycznia 2013 r. nr [...], mając za podstawę art. 138 § 1 pkt 1 k.p.a., utrzymał w mocy zaskarżoną decyzję z dnia [...] marca 2012 r. W uzasadnieniu – powołując się na argumentację w niej zawartą – podał, że odnośnie zarzutu, iż Spółka jako administrator danych ma obowiązek sprawdzania wiarygodności źródeł, z których pozyskuje dane osobowe i w tym zakresie powinna dochować szczególnej staranności, co w niniejszej sprawie nie nastąpiło, konieczne jest odniesienie się do treści art. 26 ust. 1 pkt 1 ustawy i w myśl powołanego przepisu administrator danych przetwarzający dane powinien dołożyć szczególnej staranności w celu ochrony interesów osób, których dane dotyczą, a w szczególności jest obowiązany zapewnić, aby dane te były przetwarzane zgodnie z prawem. W rozpoznawanej sprawie tymczasem zebranie danych osobowych skarżącej nastąpiło w ramach działań podejmowanych w imieniu Spółki przez osobę, z którą Spółka podpisała umowę zlecenia oraz której nadała pełnomocnictwo do podpisywania i zawierania w jej imieniu i na jej rzecz umów o świadczenie usług telekomunikacyjnych, a więc osobę właściwie umocowaną do podejmowania powyższych działań. Jednocześnie ze zgromadzonego w niniejszej sprawie materiału dowodowego nie wynika, aby w chwili zbierania danych osobowych skarżącej, Spółka posiadała wiedzę o nielegalnym źródle ich pozyskania lub źródle, o którego niezgodnej z prawem działalności mogłaby dowiedzieć się przy dochowaniu szczególnej staranności. Podkreślono, że dopiero od chwili wydania przez sąd wyroku w sprawie o sygn. akt [...] można mówić, że Spółka ma wiedzę na temat braku podstaw do uznawania skarżącej za osobę będącą jej abonentem i aktualnie przetwarza dane osobowe wymienionej wyłącznie we wskazanych wyżej celach archiwalnych. Zatem – zdaniem organu – Spółka dochowała należytej staranności przy wypełnianiu obowiązków administratora danych. Reasumując, proces przetwarzania danych osobowych skarżącej, wobec faktu ich przetwarzania przez Spółkę w oparciu o przesłankę zawartą w przepisie art. 23 ust. 1 pkt 2 ustawy, nosi znamiona legalności. W dalszej części za bezzasadne uznano również zarzuty kwestionujące prawidłowość przeprowadzonego postępowania administracyjnego, poprzez niewskazanie w wydanym rozstrzygnięciu faktów i dowodów, na których je oparto oraz przyczyn, dla których innym dowodom odmówiono wiarygodności i mocy dowodowej, bowiem postępowanie przeprowadzone zostało zgodnie z zasadami określonymi w przepisach Kodeksu postępowania administracyjnego, w tym również zgodnie z zasadą z art. 7 k.p.a., w myśl którego w toku postępowania organy administracji publicznej stoją na straży praworządności i podejmują wszelkie kroki niezbędne do dokładnego wyjaśnienia stanu faktycznego oraz do załatwienia spraw, mając na względzie interes społeczny i słuszny interes stron. Przedmiot postępowania został rzetelnie oceniony przez organ przez pryzmat przepisów ustawy o ochronie danych osobowych, po dokonaniu kompleksowej analizy całości zebranego w postępowaniu materiału dowodowego i z uwzględnieniem zakresu prowadzonego postępowania administracyjnego, zaś zaskarżona decyzja zawiera obszerne i wyczerpujące uzasadnienie prawne oraz faktyczne. Reasumując, organ w sposób rzetelny i wnikliwy prowadził postępowanie wyjaśniające w niniejszej sprawie, będąc zdeterminowanym spoczywającym na nim na mocy art. 77 § 1 k.p.a. obowiązkiem wyczerpującego zebrania i rozpatrzenia całego materiału dowodowego. W skardze do Wojewódzkiego Sądu Administracyjnego w Warszawie, skarżąca M. S. wniosła o uchylenie zaskarżonej i poprzedzającej ją decyzji w całości oraz przekazanie sprawy do ponownego rozpatrzenia przez organ, zarzucając naruszenie przepisów Kodeksu postępowania administracyjnego mających istotny wpływ na wynik postępowania, a w szczególności: 1. art. 7, 77 i 80 k.p.a., przejawiające się w niewystarczającym, niewnikliwym, niewszechstronnym rozpatrzeniu stanu faktycznego sprawy oraz niezebranie materiału dowodowego koniecznego do wydania decyzji, 2. art. 107 § 3 k.p.a., poprzez niewłaściwe uzasadnienie decyzji, zarówno I, jak i II instancji w szczególności przejawiające się w tym, iż organ I oraz II instancji nie wskazał dowodów, na których się oparł uznając fakty za uzasadnione, 3. art. 138 § 2 k.p.a., poprzez jego niezastosowanie w sytuacji, kiedy wskazane w odwołaniu naruszenia obligowały do jego zastosowania. W uzasadnieniu podano, że ustawa o ochronie danych osobowych jako przetwarzanie danych uznaje jakiekolwiek operacje wykonywane na danych osobowych, takie jak zbieranie, utrwalanie, przechowywanie, opracowywanie, zmienianie, udostępnianie i usuwanie, a zwłaszcza te, które wykonuje się w systemach informatycznych. Z kolei za dane osobowe w świetle niniejszej ustawy należy uznać wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej. Art. 23 ustawy wyszczególnia, w jakich sytuacjach dopuszczalne jest przetwarzanie danych osobowych, jednak na próżno szukać w tym przepisie normy, która zezwala na pozyskiwanie danych w taki sposób, jaki uczynił to pracownik T. S.A., tzn. skąd dysponował adresem jej zamieszkania i niniejsze pytanie w ogóle nie stało się przedmiotem wyjaśnienia w niniejszej sprawie, a którego zbadania domagała się. Ustawa o ochronie danych osobowych wprost nakłada na administratora danych (T. S.A.) obowiązek sprawdzania wiarygodności źródeł, z których pozyskuje się dane osobowe i w tym zakresie powinien on dochować szczególnej staranności. Bez wątpienia więc powinien powstrzymać się on od pozyskiwania danych osobowych, o których wie, że zostały pozyskane w sposób nielegalny lub też ze źródeł, o których niezgodnej z prawem działalności mógłby dowiedzieć się przy dochowaniu szczególnej staranności. W świetle materiału zebranego w sprawie nie powinno budzić żadnych wątpliwości, iż Spółka wiedziała o tym, iż dane uzyskane od skarżącej pochodzą z przestępstwa (już to sama opinia biegłego z zakresu pisma ręcznego na powyższe wskazywała), jednakże mimo wszystko dane były w dalszym ciągu przetwarzane. Nadto informowano o wszystkim spółkę [...] i powyższe również nie było przedmiotem postępowania przed GIODO. W literaturze przedmiotu nie ma sporów co do tego, że wykonanie obowiązku szczególnej staranności może również sprowadzać się do odebrania odpowiednich oświadczeń co do legalności przetwarzania i udostępniania danych od podmiotu, od którego pozyskuje się dane. Konkludując, osoba działająca w interesie T. S.A. wyłudziła jej dane osobowe, wykorzystała je w celu sfałszowania umowy, przekazała ww. dane firmie T., która dalej je przetwarzała wiedząc, iż uzyskała je w wyniku przestępstwa. Dalej wskazano, że decyzje organu zostały wydane z naruszeniem przepisów art. 107 k.p.a. w zakresie przywołania właściwej podstawy faktycznej, gdyż jak można zauważyć w przedmiotowej sprawie, uzasadnienia faktyczne obu decyzji nie zawierają elementów obligatoryjnych wymaganych przez powyższy przepis. Przepis ten nie określając wyczerpująco wymogów uzasadnienia faktycznego decyzji wskazuje jednak, iż uzasadnienie to powinno w szczególności zawierać wskazanie faktów, które organ uznał za udowodnione, dowodów, na których się oparł oraz przyczyn, z powodu których innym dowodom odmówił wiarogodności i mocy dowodowej. Niedopuszczalne jest więc ogólnikowe powołanie się na cały materiał dowodowy, zamiast przytoczenia oznaczonych dowodów jako podstawy poszczególnych faktów. W odpowiedzi na skargę Generalny Inspektor Ochrony Danych Osobowych wniósł o jej oddalenie, wskazując na dotychczasowe ustalenia faktyczne i prawne. Wojewódzki Sąd Administracyjny w Warszawie zważył, co następuje: Zgodnie z brzmieniem art. 1 § 1 i 2 ustawy z dnia 25 lipca 2002 r. – Prawo o ustroju sądów administracyjnych (Dz. U. Nr 153, poz. 1269 ze zm.), sąd administracyjny sprawuje wymiar sprawiedliwości m. in. poprzez kontrolę działalności administracji publicznej pod względem zgodności z prawem. Skarga analizowana pod tym kątem podlega oddaleniu, bowiem zaskarżona decyzja została wydana zgodnie z prawem. Stosownie do treści art. 23 ust. 1 pkt 2 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (tekst jedn. z 2002 r. Dz. U. Nr 101, poz. 926 z późn. zm.), przetwarzanie danych jest dopuszczalne tylko wtedy, gdy jest to niezbędne dla zrealizowania uprawnienia lub spełnienia obowiązku wynikającego z przepisu prawa. W rozpoznawanej sprawie bezspornym jest, że T. S.A. zawarła w dniu [...] sierpnia 2009 r. umowę zlecenia z M. G. w sprawie zawierania w jej imieniu umów o świadczenie usług telekomunikacyjnych i udzieliła wymienionej pisemnego pełnomocnictwa, na podstawie którego została ona umocowana do podpisywania i zawierania w imieniu i na rzecz Spółki przedmiotowych umów. Nie budzi wątpliwości również fakt, co się później okazało, że wymieniona dane osobowe skarżącej M. S. pozyskała – co wyjaśniła – bezpośrednio od niej, w miejscu jej zamieszkania, w ramach systemu "door to door", w celu zawarcia umowy o świadczenie usług telekomunikacyjnych i we wskazany wyżej sposób została zawarta ze Spółką w dniu [...] sierpnia 2009 r. przez skarżącą umowa o świadczenie usług telekomunikacyjnych nr [...]. Następnie w dniu [...] września 2009 r. P. S.A. otrzymała dokument z dnia [...] sierpnia 2009 r., podpisany przez skarżącą (abonenta P. S.A.), mocą którego wymieniona wypowiedziała umowę o świadczenie usług telekomunikacyjnych zawartą z P. S.A. i dokonała przeniesienia numeru do Spółki. W wyniku powyższego, w dniu [...] października 2009 r. P. S.A. zaprzestała świadczenia usług telekomunikacyjnych na rzecz skarżącej i aktualnie P. S.A. przetwarza dane osobowe skarżącej w związku ze złożonymi przez nią wnioskami o zmianę abonenta z dnia [...] czerwca 1979 r. oraz wskazanymi wyżej późniejszymi wnioskami (z dnia [...] sierpnia 2009 r.) i umową o świadczenie skarżącej usług telekomunikacyjnych (rozwiązaną w dniu [...] października 2009 r.). Z kolei w dniu [...] grudnia 2009 r. skarżąca otrzymała do zapłaty fakturę za usługi telekomunikacyjne od Spółki i tego dnia powzięła informację o przetwarzaniu jej danych osobowych przez Spółkę. W dniu [...] października 2011 r. natomiast, Sąd Rejonowy w W., [...] Wydział Cywilny wydał wyrok w sprawie o sygn. akt. [...], mocą którego ustalił, iż wskazana już wyżej umowa z dnia [...] sierpnia 2009 r. nr [...] o świadczenie usług [...] zawarta pomiędzy skarżącą a Spółką w W. oraz zamówienie abonamentu na linii analogowej dokonane przez skarżącą w dniu [...] sierpnia 2009 r., są nieważne. Nie mniej jednak nie budzi również wątpliwości fakt, co Spółka wyjaśniała w pismach z dnia [...] kwietnia 2011 r., z dnia [...] lipca 2011 r. i co szczegółowo podała w piśmie z dnia [...] stycznia 2012 r., że aktualnie przetwarza dane osobowe skarżącej M. S. w zakresie jej imienia, nazwiska, adresu zamieszkania oraz NIP w związku z wystawionymi już wcześniej fakturami VAT. Oceniając powyższe, stwierdzić zatem należy, że zgodnie z art. 32 § 1 ustawy z dnia 29 sierpnia 1997 r. Ordynacja podatkowa (tekst jedn. z 2005 r. Dz. U. Nr 8, poz. 60 z późn. zm.), płatnicy i inkasenci obowiązani są przechowywać dokumenty związane z poborem lub inkasem podatków do czasu upływu terminu przedawnienia zobowiązania płatnika lub inkasenta, a w myśl art. 86 § 1, podatnicy obowiązani do prowadzenia ksiąg podatkowych przechowują księgi i związane z ich prowadzeniem dokumenty do czasu upływu okresu przedawnienia zobowiązania podatkowego. Z kolei według art. 88 § 1, podatnicy wystawiający rachunki są obowiązani kolejno je numerować i przechowywać kopie tych rachunków w kolejności ich wystawienia, do czasu upływu okresu przedawnienia zobowiązania podatkowego, które – na podstawie art. 70 § 1 – następuje z upływem 5 lat, licząc od końca roku kalendarzowego, w którym upłynął termin płatności podatku. Niezależnie od powyższych zapisów Ordynacji podatkowej, zgodnie z art. 73 ust. 1 ustawy z dnia 29 września 1994 r. o rachunkowości (tekst jedn. z 2009 r. Dz. U. Nr 152, poz. 1223 z późn. zm.), dowody księgowe i dokumenty inwentaryzacyjne przechowuje się w jednostce, z zastrzeżeniem ust. 4, w oryginalnej postaci, w ustalonym porządku dostosowanym do sposobu prowadzenia ksiąg rachunkowych, w podziale na okresy sprawozdawcze, w sposób pozwalający na ich łatwe odszukanie. Roczne zbiory dowodów księgowych i dokumentów inwentaryzacyjnych oznacza się określeniem nazwy ich rodzaju oraz symbolem końcowych lat i końcowych numerów w zbiorze, a w myśl ust. 3 tegoż przepisu, po zatwierdzeniu sprawozdania finansowego za dany rok obrotowy, dokumentację przyjętych zasad rachunkowości, księgi rachunkowe oraz sprawozdania finansowe, w tym również sprawozdanie z działalności jednostki, przechowuje się odpowiednio w sposób określony w ust. 1 i które, mocą art. 74 ust. 1, podlegają trwałemu przechowaniu, zaś pozostałe dowody księgowe i dokumenty podlegają przechowaniu przez co najmniej 5 lat (ust. 2 pkt 8). Reasumując, przetwarzanie danych skarżącej w zakresie jej imienia, nazwiska, adresu zameldowania i NIP zawartych w wystawionych przez Spółkę fakturach VAT, znajduje uzasadnienie w świetle przeprowadzonej powyżej analizy przepisów prawa i stanowisko Generalnego Inspektora Ochrony Danych Osobowych w tym względzie jest prawidłowe, bowiem zachodziły przesłanki legalizujące przetwarzanie w oparciu o art. 23 ust. 1 pkt 2 ustawy. Zgodzić się należy ze skarżącą, że administrator danych powinien zachować szczególną staranność przy ich przetwarzaniu, bowiem zgodnie z treścią art. 26 ust. 1 ustawy o ochronie danych osobowych, administrator danych przetwarzający dane powinien dołożyć szczególnej staranności w celu ochrony interesów osób, których dane dotyczą, a w szczególności jest obowiązany zapewnić, aby dane te były: 1) przetwarzane zgodnie z prawem, 2) zbierane dla oznaczonych, zgodnych z prawem celów i niepoddawane dalszemu przetwarzaniu niezgodnemu z tymi celami, z zastrzeżeniem ust. 2, 3) merytorycznie poprawne i adekwatne w stosunku do celów, w jakich są przetwarzane, 4) przechowywane w postaci umożliwiającej identyfikację osób, których dotyczą, nie dłużej niż jest to niezbędne do osiągnięcia celu przetwarzania. Jednakże z drugiej strony przyznać należy rację organowi, że Spółka – wbrew zarzutom – dochowała należytej staranności przy wypełnianiu obowiązków administratora danych, ponieważ, jak słusznie stwierdzono w zaskarżonej decyzji, zebranie danych skarżącej nastąpiło w imieniu Spółki przez osobę, z którą Spółka podpisała umowę zlecenia i nadała jej pełnomocnictwo do podpisywania oraz zawierania umów w jej imieniu i na jej rzecz w zakresie świadczenia usług telekomunikacyjnych. Zatem M. G. była właściwie umocowana przez Spółkę do podejmowania owych czynności. Ponadto ze zgromadzonego w sprawie materiału wynika, że Spółka nie orientowała się w nielegalnym źródle pozyskiwania danych osobowych skarżącej, bowiem wiedzę tę uzyskała dopiero po wydaniu wspomnianego już wyżej wyroku z dnia [...] października 2011 r. o sygn. akt [...] i w tej sytuacji zarzut o tym, że posiadała tę wiedzę wcześniej uznać należy za gołosłowny. Rację ma również skarżąca co do zarzutu, że organ w sposób lakoniczny i mało precyzyjny oraz bez wskazania konkretnych dowodów wyprowadził w uzasadnieniu zaskarżonej decyzji owe wnioski, czym naruszył przepis art. 107 § 3 k.p.a. Jednakże owo naruszenie nie mogło mieć – zdaniem Sądu – istotnego wpływu na wynik sprawy. Z tego mianowicie powodu, że chociaż pominął wcześniejsze wyjaśnienia Spółki, to jednak powołał się konkretnie na te jej wyjaśnienia, które zostały zawarte w piśmie z dnia [...] stycznia 2012 r., zaś cały stan faktyczny ustalił jednak przekonywująco i to na podstawie wcześniejszych pism oraz całokształtu materiału dowodowego zgromadzonego w sprawie. Ponadto w zasadzie, poza wyjaśnieniami Spółki, organ nie dysponował żadnym innymi, istotnymi oraz przeciwnymi dowodami, a te zaś zebrane były wystarczające do wykazania prawdy obiektywnej i w tej sytuacji nie zachodziła pilna konieczność dokonywania ich wzajemnej oceny. Reasumując, organ – w ocenie Sądu – nie naruszył zatem przepisów art. 7, 77 i 80 k.p.a. w stopniu mającym istotny wpływ na wynik sprawy. W tym stanie rzeczy, na mocy art. 151 w zw. z art. 132 ustawy z dnia 30 sierpnia 2002 r. – Prawo o postępowaniu przed sądami administracyjnymi (tekst jedn. Dz. U. z 2012 r., poz. 270), należało orzec jak w sentencji wyroku.

Źródło: Centralna Baza Orzeczeń Sądów Administracyjnych (orzeczenia.nsa.gov.pl), pozyskano 15.07.2026. · Źródło